configuring-firewalls

此技能為各類基礎設施環境提供全面的網絡安全加固框架。專為 DevOps 工程師、系統管理員與架構師設計，旨在管理流量、保護伺服器訪問及實施網絡分段。透過應用基於主機防火牆（如 UFW、nftables 與 iptables）的標準化模式，以及雲端原生控制（如 AWS 安全群組、GCP VPC 防火牆規則與 Azure 網路安全群組），確保一致的安全狀態。本技能有助於防止常見配置錯誤（如意外鎖定 SSH），強調安全清單、有狀態與無狀態封包過濾及縱深防禦策略。用戶可獲得關於設定堡壘機、配置網頁伺服器與資料庫的進出規則以及防火牆技術轉換的指南。無論是執行伺服器加固、通過 Kubernetes NetworkPolicies 保護容器化工作負載，還是排除連線故障，本技能均提供可操作的指令片段與決策邏輯。它連接了低級核心封包過濾與高級雲端網路策略之間的缺口。

• 支援基於主機的防火牆，包括 Ubuntu/Debian 的 UFW、RHEL/CentOS 的 firewalld 以及用於高效能過濾的現代 nftables。

• 雲端整合涵蓋 AWS 安全群組、NACL、GCP VPC 規則及 Azure NSG，並提供 Terraform 與 CLI 範例。

• Kubernetes 安全涵蓋，包括使用 Calico 或 Cilium 等 CNI 外掛管理 Pod 通訊。

• 為網頁伺服器、API 閘道、資料庫叢集與堡壘機提供標準化安全模式。

• 安全優先工作流程：包含防止鎖定的關鍵檢查與使用 nmap 等工具的驗證方法。

• 提供從傳統 iptables 到現代 nftables 的遷移路徑及效能優化建議。

• 在應用「預設拒絕」策略前，請務必確認已允許 SSH 或管理埠的存取，以避免系統鎖定。

• 區分有狀態防火牆（安全群組）與無狀態控制（NACL）以避免流量丟失。

• 使用提供的安全清單在更改配置後進行外部連線驗證。

• 將規則整合至 Terraform 等基礎設施即代碼（IaC）管線中，實現可審計與版本控制。

• 輸入包括伺服器作業系統、雲端供應商、服務埠與來源 IP 範圍；輸出包括精確的 CLI 指令、設定檔或 Terraform 資源區塊。